计算机网络面试题, Cookie,Session,Token 之间有什么区别?

Step 1

Q:: Cookie、Session、Token 之间有什么区别？

A:: Cookie、Session 和 Token 是用于在网络通信中保存状态和认证用户的三种常见机制。Cookie 是由服务器生成并保存在客户端的小文本文件，主要用于在客户端和服务器之间保持状态。Session 是一种服务器端的机制，用于在服务器上保存用户会话数据，并通过唯一的 Session ID 在客户端和服务器之间关联。Token 是一种用于认证的机制，通常使用 JSON Web Token (JWT) 格式，由服务器生成并发给客户端，客户端在每次请求时携带 Token 以验证身份。三者的主要区别在于：1. Cookie 数据存储在客户端，而 Session 数据存储在服务器端。2. Token 通常是无状态的，每次请求都需要携带 Token 进行身份验证，而 Session 则依赖于服务器端的会话状态。3. Cookie 和 Session 的安全性依赖于服务器端设置，而 Token 通常通过加密和签名来确保安全性。

Step 2

Q:: Session 和 Token 哪个更安全？为什么？

A:: 一般来说，Token 更加安全，因为它通常是无状态的，意味着服务器不需要保存会话数据，避免了因会话劫持带来的风险。此外，Token 通常采用加密和签名技术，能够有效防止篡改和伪造。相比之下，Session 依赖于服务器端的状态管理，如果服务器端存在漏洞或配置不当，可能会导致会话劫持。Token 还可以设置有效期，并通过签发新的 Token 来更新认证状态，从而提高安全性。

Step 3

Q:: 如何防止 Cookie 被窃取？

A:: 为了防止 Cookie 被窃取，可以采取以下措施：1. 设置 HttpOnly 属性，防止客户端脚本访问 Cookie。2. 使用 Secure 属性，确保 Cookie 只能通过 HTTPS 传输，避免中间人攻击。3. 设置 SameSite 属性，限制跨站请求携带 Cookie，防范 CSRF 攻击。4. 定期更新和清理 Cookie，减少长期使用的 Cookie 被窃取的风险。

Step 4

Q:: Token 在认证系统中的优势是什么？

A:: Token 在认证系统中的优势包括：1. 无状态性，Token 不需要在服务器端保存状态，使得系统更易于扩展和横向扩展。2. 安全性高，Token 可以加密和签名，确保数据的完整性和防篡改。3. 跨平台和跨域支持，Token 可以在不同的服务和平台之间传递，支持单点登录（SSO）。4. 灵活性，Token 可以携带任意数量的自定义数据，便于在认证时传递额外的信息。

Step 5

Q:: JWT 如何防止篡改和伪造？

A:: JWT 防止篡改和伪造的机制主要依赖于签名。JWT 由三个部分组成：头部（Header）、载荷（Payload）和签名（Signature）。签名是由头部和载荷通过哈希算法（如 HMAC 或 RSA）加密生成的，只有持有密钥的服务器才能生成有效的签名。客户端在每次请求时都会携带 JWT，服务器验证签名以确保 JWT 的完整性和真实性，任何篡改 JWT 的尝试都会导致签名验证失败，从而拒绝请求。